Firma korzysta z AI od kilku lat. Modernizacja systemu może uruchomić nowe obowiązki

System sztucznej inteligencji od kilku lat analizuje dokumenty kandydatów do pracy, wspiera ocenę klientów albo pomaga podejmować decyzje dotyczące określonych usług. Firma może uznać, że skoro narzędzie zostało wdrożone przed rozpoczęciem stosowania nowych wymogów AI Act, jego sytuacja prawna jest ustalona. Nie zawsze będzie to bezpieczne założenie. Znaczenie może mieć nie tylko data uruchomienia systemu, ale również to, co przedsiębiorstwo zrobiło z nim później. Nie tylko głęboka przebudowa, ale też dodanie nowych funkcji albo zmiana celu wykorzystania mogą spowodować konieczność ponownej oceny rozwiązania.
- Wcześniej wdrożone systemy AI w firmach
- Istotna modyfikacja systemu AI jako punkt graniczny
- Zmiana przeznaczenia systemu AI z konkretnymi konsekwencjami
- Dokumentacja zmian systemu AI jako dowód dla firmy
- Nowe terminy dla systemów AI wysokiego ryzyka
- Audyt systemu AI przed jego modernizacją
Nie chodzi przy tym o „stare AI” rozumiane jako przestarzałe oprogramowanie. Wcześniej wdrożonym systemem może być nowoczesne narzędzie kupione zaledwie kilkanaście miesięcy temu, a następnie regularnie rozwijane. Kluczowe jest ustalenie, kiedy rozwiązanie zostało wprowadzone na rynek lub oddane do użytku, jakie było jego pierwotne przeznaczenie oraz czy po tej dacie doszło do zmian mających znaczenie dla sposobu działania lub poziomu ryzyka.
Wcześniej wdrożone systemy AI w firmach
Przykładem może być system wykorzystywany od 2024 r. do wspierania rekrutacji. Początkowo narzędzie jedynie odczytywało dane z życiorysów, wyszukiwało określone informacje i porządkowało dokumenty według ustalonych kategorii. Nie przyznawało kandydatom punktów, nie tworzyło rankingu i nie rekomendowało ich odrzucenia. Firma po dwóch latach rozbudowała jednak program o funkcję oceny doświadczenia, automatycznego porównywania kandydatów i wskazywania osób, które najlepiej odpowiadają profilowi stanowiska. Z perspektywy użytkownika nazwa produktu mogła pozostać taka sama, ale jego rzeczywista rola w procesie rekrutacji zmieniła się zasadniczo.
Podobne sytuacje mogą występować w innych branżach. System wykorzystywany wcześniej wyłącznie do sporządzania zbiorczych analiz może zostać włączony do oceny konkretnych klientów. Narzędzie monitorujące wydajność zakładu może otrzymać funkcję analizowania wyników poszczególnych pracowników. Program służący początkowo do technicznego porządkowania danych może zacząć dostarczać rekomendacji wpływających na decyzje dotyczące konkretnych osób. To właśnie w takich przypadkach przedsiębiorstwo powinno sprawdzić, czy nadal ma do czynienia zasadniczo z tym samym systemem i tym samym przeznaczeniem.
Istotna modyfikacja systemu AI jako punkt graniczny
AI Act posługuje się pojęciem istotnej modyfikacji. W uproszczeniu chodzi o zmianę dokonaną po wprowadzeniu systemu na rynek lub oddaniu go do użytku, której nie przewidziano w pierwotnej ocenie zgodności i która wpływa na spełnianie wymogów dotyczących systemów wysokiego ryzyka albo zmienia wcześniej ocenione przeznaczenie rozwiązania. Dlatego ocena nie może ograniczać się do pytania, czy firma kupiła nową wersję programu. Znacznie ważniejsze jest to, co system potrafi po zmianie i w jaki sposób jego wyniki są wykorzystywane.
Nie każda aktualizacja będzie miała taki skutek. Poprawienie błędu technicznego, wzmocnienie zabezpieczeń, zmiana interfejsu czy instalacja zwykłej poprawki serwisowej nie muszą oznaczać istotnej modyfikacji. Inaczej należy ocenić przebudowę wpływającą na logikę działania, zakres danych, funkcje decyzyjne lub rzeczywiste przeznaczenie AI. Granica będzie szczególnie istotna w przypadku systemów wysokiego ryzyka, dla których unijne przepisy przewidują rozbudowane obowiązki dotyczące między innymi zarządzania ryzykiem, dokumentacji, jakości danych, rejestrowania zdarzeń, przejrzystości i nadzoru człowieka.
Zmiana przeznaczenia systemu AI z konkretnymi konsekwencjami
Dla firmy największym problemem może okazać się nie spektakularna przebudowa technologiczna, lecz pozornie niewielka decyzja biznesowa. Dział IT nie zmienia kodu systemu, ale kierownictwo postanawia wykorzystywać istniejącą funkcję do zupełnie nowego celu. Narzędzie, które wcześniej przygotowywało statystyki, zaczyna służyć do oceny konkretnych osób. Program wykorzystywany pomocniczo staje się podstawowym źródłem rekomendacji dla pracowników podejmujących decyzje.
Właśnie dlatego nazwa handlowa systemu nie przesądza o jego sytuacji. To samo rozwiązanie może być wykorzystywane przez jedną organizację do neutralnej analizy danych, a przez inną do procesów wpływających na zatrudnienie, edukację, dostęp do określonych usług albo bezpieczeństwo. Firma musi więc badać faktyczne zastosowanie AI, zakres jej wpływu na decyzje i sposób, w jaki pracownicy korzystają z generowanych wyników.
Dokumentacja zmian systemu AI jako dowód dla firmy
Przedsiębiorstwo korzystające z AI przez kilka lat powinno być w stanie odtworzyć historię rozwoju systemu. Znaczenie mogą mieć data wdrożenia, opis pierwotnych funkcji, kolejne wersje, zakres aktualizacji, nowe źródła danych oraz decyzje o rozszerzeniu zastosowania. Bez takiej dokumentacji firma może mieć problem z ustaleniem, kiedy dokładnie rozwiązanie zaczęło działać inaczej niż na początku i czy doszło do zmiany mającej znaczenie regulacyjne.
Ryzyko jest szczególnie duże przy stopniowym rozwoju oprogramowania. Pierwsza aktualizacja dodaje niewielką funkcję, druga nowe źródło danych, trzecia możliwość automatycznego oceniania, a czwarta integruje wynik AI z procesem decyzyjnym. Każda zmiana analizowana oddzielnie może wydawać się ograniczona, ale końcowy system może znacząco różnić się od pierwotnej wersji. Dlatego przed dużą modernizacją warto przeprowadzić analizę obejmującą całą historię rozwiązania, a nie tylko ostatnią aktualizację.
Nowe terminy dla systemów AI wysokiego ryzyka
Po zmianach przyjętych w ramach AI Omnibus harmonogram dotyczący systemów wysokiego ryzyka został przesunięty. Dla samodzielnych systemów wysokiego ryzyka objętych załącznikiem III, obejmującym określone zastosowania między innymi w zatrudnieniu, edukacji, infrastrukturze krytycznej i dostępie do podstawowych usług, nową datą rozpoczęcia stosowania wymogów jest 2 grudnia 2027 r. W odniesieniu do systemów wysokiego ryzyka będących elementami określonych regulowanych produktów termin wyznaczono na 2 sierpnia 2028 r.
Nie oznacza to jednak, że przedsiębiorstwa powinny odłożyć analizę systemów do ostatnich miesięcy przed tymi datami. Część AI Act już jest stosowana, w tym przepisy dotyczące zakazanych praktyk i kompetencji w zakresie AI. Firma przygotowująca poważną modernizację powinna więc ustalić, czy system jest wysokiego ryzyka, jakie było jego pierwotne przeznaczenie oraz czy planowane zmiany nie wpływają na obowiązki związane z jego dalszym używaniem.
Audyt systemu AI przed jego modernizacją
Przedsiębiorstwo powinno rozpocząć od ustalenia podstawowych faktów: kiedy system został wdrożony, do czego pierwotnie służył, jakie funkcje dodano później i czy zmieniła się grupa osób, na które wpływają jego wyniki. Trzeba również sprawdzić, czy rozwiązanie uzyskało dostęp do nowych danych, czy jego rekomendacje mają większe znaczenie niż wcześniej oraz czy człowiek nadal podejmuje rzeczywistą decyzję.
Taka analiza nie powinna należeć wyłącznie do działu IT. Zmiana technicznie niewielka może mieć duże znaczenie biznesowe i prawne. Dlatego przy ważnych systemach potrzebna może być współpraca osób odpowiedzialnych za technologię, bezpieczeństwo, prawo, zgodność oraz proces, w którym AI jest rzeczywiście wykorzystywana.
Słowa i frazy kluczowe: AI Act, wcześniej wdrożone systemy AI, modernizacja systemu AI, istotna modyfikacja systemu AI, systemy AI wysokiego ryzyka, AI Omnibus, aktualizacja AI, obowiązki firmy, audyt AI, przepisy o sztucznej inteligencji
ŹRÓDŁA
- Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689, art. 3, art. 6, art. 111
- Komisja Europejska, AI Act Service Desk
- Komisja Europejska, materiały dotyczące systemów AI wysokiego ryzyka
- Rada Unii Europejskiej, AI Omnibus
© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.


